Wordpress varnost

16 naročnikov

Na začetku aprila so mi pohackali par strani. Organic mobile promet je bil redirectan na hackerjev CPA offer in izgubljal sem 50% prometa. Prej nisem dal nič na varnost. Če pa koga zanima, to so ugotovitve in uporabni plugini:

• Sucuri security: Preveri malware in beleži login attempte. Prav na vseh straneh, pa naj imajo 500 ali pa 5 UV na dan, me bruteforcajo dnevno. Verjetno je to razširjeno po celem spletu.

• Remove author pages: Na najpomembnejši strani sem po čistki opazil, da se poskušajo logirat z mojim pravim unikatnim admin uporabniškim imenom. Spremenil sem ga v Phpmyadmin in ugotovil, da so takoj prešaltali na novonastali admin username. Nekatere WP teme imajo to slabost, da URL domena.com/?author=1 preusmeri na adminove objave in na URL v katerem piše username. Remove author pages plugin reši ta problem, redirect v htaccessu ga pa ne, ker se zlahka ugotovi "vmesna postaja" redirecta preko redirect-checker.org recimo.

• Limit login attempts: 3je napačni logini = ban IPja za določen čas. Problemu se hackerji izognejo s proxiji, ampak ponavadi jih nimajo dovolj. Vsaj tisti ne, ki se jim je vredno ukvarjat s stranmi, ki ne nesejo nekega ogromnega denarja.

Še boljša opcija se mi zdi nekako premakniti/preimenovati wp-admin in wp-login strani in zadeva je rešena.

https://www.udemy.com/wordpress-security-guide/learn/?couponCode=STUDENTS

Pozdravljeni,
Danes ponoci sem dobil 30 emailov o lockoutih. Uporabljam wordfence prej sem ime iThemes. Login page mam skrit. Poskusajon se prijavljati z "admin". Kaksen nasvet?
Lp

izklopi obvestila o lockotuih

Nastavi na strežniku fail2ban in ko 3x nekdo fali geslo, dobi ban za 10 oz poljubno nastavljenih minut. In pa, kakor je omenil bilten, izklopi obvestila. Če imaš dobro geslo, ga ne bojo bruteforcali.

Ali lahko login omejim le na slovenski ipje. Oz tiste k hocm. Se nism delal nikol.
Lp

lahko z wordfance premium blokiras vse drzave vse ip razen slovenije

Kaj vi priporočate iThemes ali Wordfence plugin. Meni osebno iThemes se mi zdi da ponuja več opcij. Ker če bom šel pro da ga ne bom polomil :)

Jaz uporabljam oba ne vem kaj bi bilo s tem narobe ...

Jaz imam tudi dinamični IP in zato nisem omejil logina na en IP ker bi potem imel probleme.

So tudi meni pred kratkim hoteli "bruteforcat" stran ampak sem dodal v htaccess dodatno zahtevo po geslu ki sem ga sam določil in je dosti dolg. Res da moram dvakrat vpisat geslo, ampak zdaj nimam več problemov ker bi hackerjem vzelo ogromno časa da bi to "poheckali", plus sam vedno spremljam svoje emaile in me opozori če pride do čudnega obnašanja.

Plus uporabljam limit login attempt WP plugin ki je zastonj. Zaenkrat se zdi da so heckarji odnehali, ponavadi to itak delajo po več strani naenkrat z svojimi serverji in če malo spremeniš svoj način logina gredo ponavadi mimo.

P.S. Če ti je bil moj post vsaj malo koristen, prosim pritisni "všeč" ker zbiram pluse za ZS(in ne, ne mislim spamat).

Na novih straneh uporabljam tole:

http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158

Ni šans, da najdeš login page.